認証マーク証明書 (VMC) 09-16-2021

90年代から今日まで - フィッシング、その対策はどのように進化してきたのか

Dean Coclin

フィッシングは、90年代半ばにアメリカ・オンライン(AOL)ユーザーの情報を盗むために始まりました。当時、最大のリスクは、クレジットカードの情報を失うことでした。1995年以降、フィッシングの脅威は進化し、より多様化し、影響力を増していると言っても過言ではありません。しかし、フィッシング側の戦略が進化するにつれ、それに対抗するためのベスト・プラクティスも進化しています。

しかし、どのようにしてここまで来たのか、そしてフィッシングは、どのようにして今日のような破壊的な力を持つまでに成長したのか。それでは早速、ご紹介しましょう。

フィッシングの黎明期

最初のフィッシング攻撃は1995年に始まりましたが、フィッシングという言葉が初めて使われたのは1996年です。毎日、何百万人もの人々がAOLを利用しているので、自然とターゲットになりました。 当初のフィッシャーは、ユーザー名とパスワードをターゲットにし、AOLのアカウントを開設できるようになるまで、クレジットカード番号をランダム化するアルゴリズムを使用していました。彼らは偽のアカウントで他のユーザーにスパムを送り続け、瞬く間に勢いを増しました。

被害者は、そもそもフィッシングが何であるかを知らないので、疑うことを知らず、簡単にターゲットになりました。この問題に対処するため、AOL社はすべての電子メールとインスタントメッセンジャーのクライアントに、機密情報を共有しないよう警告を表示しました。

時が経つにつれ、フィッシングはオンライン決済システムを標的にしたり、悪意のあるメールを送信する「なりすまし」へと進化していきました。2003年になると、eBayやPayPalなどのブランドを名乗るなりすましメールが氾濫し、クレジットカード情報の更新を求められるようになりました。ユーザーがメールのリンクをクリックすると、本物のように見えるサイトに誘導されますが、実は偽装されたサイトでした。2004年5月から2005年5月の間に、米国で120万人の被害者がフィッシングによって合計9億2900万ドルの金銭的損失を被りました。

ユーザーがメッセージをクリックする前にフィッシングを阻止することがより重要視されています。フィッシングを回避するためのヒントのトップ10はリンク先の記事でご紹介します。

フィッシングの現状

今日のフィッシングは、個人情報を盗むラブレターや王子様からのメッセージではなく、世界経済や政治、主要な組織を脅かす可能性があります。今日の攻撃者は、専門的に組織された大規模なグループであり、金銭的な動機を持っています。フィッシングによる組織の損失は、年間約20億ドルと言われています。

パンデミックの際には、COVID-19問題に対する人々の恐怖心の高まりを利用して、攻撃者がフィッシング活動を大幅に増加させました。人気のある攻撃は、給付金、偽の感染情報、在宅勤務、Netflix詐欺などです。リモートワークなどのトレンドが定着しつつある中、パンデミックはサイバーセキュリティの優先順位を大きく変えました

最近の攻撃では、2020年の米国大統領選挙や失業手当にも焦点が当てられており、さらに従来からのPayPalなどの伝統的なターゲットにもなりすましています。2020年のメールトラフィックの約50%がスパムであり、PhishLabs社の調査では、2020年から2021年にかけてフィッシングが47%増加していることが判明しました。つまり現在、フィッシングはかつてないほど悪化していることを意味します。

これに対抗するため、FTC(米国連邦取引委員会)はユーザーがこれらの脅威に注意するよう警告する声明を数多く発表しています。このように進化し続ける脅威から身を守るためには、まだまだやるべきことがたくさんありますが、現在のベストプラクティスと新しいテクノロジーによって、フィッシングに対する最新の防御が可能になっています。

最新のメールセキュリティ対策

今日のフィッシング防御策は、セキュリティのベストプラクティスとトレーニングの組み合わせです。組織は、ハッカーのテクニックやセキュリティ指標の探し方について従業員を教育する必要があります。定期的に最新のトレーニングを受けることが最大の防御となります。脅威を知らなければ、防御することはできません。ITチームは、メールによるフィッシング攻撃のシミュレーションを行い、従業員がこのような脅威に気付き、リンクや添付ファイルをクリックしないように訓練することで、意識向上のためのトレーニングを促進する必要があります。

しかし、DMARC(Domain-based Message Authentication, Reporting, and Conformance)などのセキュリティプロトコルを活用することも必要です。DMARCは、電子メールのなりすましを防止するための電子メール認証・ポリシー・レポートプロトコルです。組織でDMARCを有効にすることで、顧客をだまそうとするフィッシングメールの数を減らすことができます。これにより、受信箱の乱雑さが軽減され、消費者が受信箱の中のメールメッセージを信頼しやすくなります。

DMARCを設定するための詳細な手順については、こちらの記事をお読みください。

UP NEXT
CA/B フォーラム

SSLサーバ証明書のドメイン認証方法に関する業界標準の変更に伴い、証明書管理ソリューションの必要性が高まる

5 Min

特集記事

ユーザーの受信トレイに貴社のロゴを表示する:VMC GMAIL PILOTから学べるヒント

10-27-2021

デジサートのPKIオートメーション調査から見えてきた3つのこと

証明書のピンニングはやめましょう